Las herramientas de seguridad tradicionales no están bien adaptadas —y, en algunos casos, son totalmente inadecuadas— para las necesidades específicas de un entorno nativo en la nube y proyectos de transformación.
Por ejemplo, los sistemas de prevención de intrusiones basados en el host (HIPS) supervisan el sistema operativo en busca de ataques y vulnerabilidades, pero carecen tanto de la visibilidad de la actividad de las cargas de trabajo nativas en la nube como de la capacidad de supervisar y controlar el tráfico del mismo sistema operativo/anfitrión.
Los cortafuegos o firewalls están acostumbrados a ver el host como una dirección IP inmutable, pero en una arquitectura nativa en la nube, estas direcciones se asignan de manera dinámica a los Pods dentro de un clúster en un entorno Kubernetes orquestado. Esto significa que un cortafuegos clásico, o incluso uno basado en una máquina virtual, no ‘sabría’ dónde se están ejecutando esos Pods, o a qué aplicación pertenecen. Y cuando se retira un Pod de un sitio y se reinicia en otro, el firewall no sabe si se trata del mismo. Si se necesita la capacidad de los cortafuegos para denegar automáticamente una conexión de salida de, por ejemplo, un contenedor de base de datos (encapsulado en un Pod), uno clásico no podría hacerlo.
Por qué los productos tradicionales de seguridad no son aptos para un entorno nativo en la nube
Seguridad Tradicional | Realidad de los sistemas nativos en la nube | Seguridad nativa en la nube |
Entregas modestas y poco frecuentes | CI/CD | Desplazar el testeo automatizado a la izquierda (shift left) |
Muy pocas fuentes abiertas | Predominio de fuentes abiertas | Análisis de la composición del software y gestión de la vulnerabilidad |
Tareas continuas | Tareas efímeras | Controles contextuales durante el tiempo de ejecución que sigue a las cargas de trabajo |
Dirección estática | Pods orquestados | Segmentación basada en la identidad |
Aislamiento del hipervisor o del hardware | Núcleo compartido, sistema operativo oculto | Aplicar el mínimo privilegio en todas las cargas de trabajo |
Aunque los mismos conceptos de seguridad (como los cortafuegos o el refuerzo) se dan en un despliegue nativo en la nube, su implementación debe estar en línea con la arquitectura, el diseño y el proceso nativos en la nube.
Por ilustrar lo anterior con otro ejemplo que no implica necesariamente la adopción de nuevas plataformas cloud, la tecnología de gestión de eventos de seguridad (SIEM) sigue siendo una necesidad, pero las fuentes y el tipo de eventos y la velocidad necesaria para gestionar eventos es mucho más exigente que en infraestructuras tradicionales.
Hoy en día un SIEM queda muy limitado cuando se alimenta de fuentes tradicionales como antivirus e IDS, la nueva arquitectura de seguridad para acotar incidencias de seguridad ha de nutrirse hoy en día de EDR (endpoint detection and response) y NDR (network detection and response).
